文|吴俊宇
普华永道和英国BAE Systems公司在2017年4月发布了一份名为《Operation Cloud Hopper》的报告。
报告指出,黑客组织APT10集团为实现某个目标突袭了全球各大IT服务供应商,并且其中包含一些直接针对托管基础设施的更为具体的云攻击。普华永道通过图表的形式绘制出了这一黑客组织在各个时间的攻击频率。
这一黑客组织的攻击路径图也是非常广泛,包括美国、俄罗斯、瑞典等国家的网络基础设施都曾被这家组织频繁攻击。
普华永道在这份报告之中最后提醒,黑客攻击的针对重点正在发生变化,过去小打小闹针对个人的传统攻击正在逐渐体系化,甚至直走向云端,面向政府及企业。
云安全在这种“道高一尺魔高一丈”的互联网安全环境下显得日益重要。
可以说,如果说云是现在企业数字化转型的“刀剑”,那么云安全就是企业数字化转型的“盾牌”。
一
从To C到To B
过去黑客攻击往往多是针对个人用户的攻击,这种攻击甚至很大程度只是单纯寻求破坏的快感,利益诉求相对较少。但是在今天,黑客正在组织化,以盈利为目的的黑灰产正在泛滥。
企业化运作已经成了很多黑灰产组织的发展方向。
2018年1月,我在《老腾讯、老警察、白帽子:三个群体打击黑产的殊途同归》这篇文章中提到过这样一个细节:
上游企业负责应用开发,中游有专门的支付公司负责开发支付接口,下游还有企业负责在广告联盟等渠道购买流量负责应用投放……一些黑灰产组织甚至直接用上了人工智能神经网络技术,或者是直接针对企业公共云环境的加密器进行攻击。
在这种团队化、专业化攻击下,黑灰产组织可以针对电商、互金企业的优惠活动“薅羊毛”,以此获得巨额收益,更遑论针对个人的攻击。
过去几年在出行市场、电商市场的巨额补贴战之中,武装到牙齿的黑灰产组织若隐若现,制造了一系列重大事件。
今年1月,某电商平台便被黑灰产组织抓住一个过期优惠券bug薅了200余亿羊毛——这类事件在消费互联网的网络安全环境下几乎是闻所未闻。
一句话总结,消费互联网的安全是To C的安全,产业互联网的安全是To B的安全。
To C的网络安全带来的问题可能是一部分To C用户的个人损失,但是To B的网络安全,往往是政企客户的系统性安全问题,破坏力更大。
要知道,黑灰产的武器库日趋成熟,其中不乏未公开披露的漏洞攻击手段,传统的漏洞情报已经不能覆盖云环境复杂的攻击形态。
过去用户对To C网络安全的认知往往只是杀毒软件、安全助手,但是To B网络安全是要求更高的“杀毒软件”和“安全助手”
因为产业互联网是一个贯穿研发、生产、组装、流通、服务全周期的概念。
以数字化升级全周期为例,它的前期咨询、规划,中期建设,后期运维,全都离不开安全。在安全的前提下,才有可能完成各个环节的数字化改造,打通价值链,才能从根本上提升效率、实现产业进化。
越来越多政企客户的IT基础设施正在迁移上云,在云基础设施的建设过程之中,战略性质的安全引擎必须重新规划建设。
从市场规模的角度看,云服务应用的扩大,将催生安全需求的庞大市场。网络安全法等法规政策安全合规性要求,也让客户对云安全的认知与需求更明晰。
云安全产品生态不断丰富。一方面,云计算厂商在强化自身安全能力的同时,纷纷将自身安全能力产品化输出。另一方面,安全厂商也在积极布局云计算安全解决方案,将积累的丰富安全经验适配于云环境。
二
深入To B“腹地”
在我看来,安全问题是整个To B领域的腹地,它是整个To B产业的软肋。
就像我在前文之中所说的,云是政企数字化转型的“刀剑”,它能够帮助政企客户提高效率,但是为了保护软肋,必须要有“盾牌”。
用腾讯云与智慧产业总裁汤道生对“盾牌”的有着非常明确的认识:
要解决数字化时代的安全问题,需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制。安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,产业互联网时代,安全正成为CEO的一把手工程。
实际上,在去年下半年,腾讯安全就正在深入To B产业的腹地。
去年9月30日,腾讯完成了组织架构调整。
云与智慧产业事业群(CSIG)作为腾讯组织架构下的新部门,其中整合了包括腾讯云、智慧零售、腾讯地图、安全产品等核心业务线。业务方向在于帮助医疗、教育、交通、制造业等行业向智能化、数字化转型。
仔细解读当时组织架构调整的一些细节会发现,安全这一块原本面向To C的业务,被纳入了面向To B的组织架构之中。
9月30日之前,腾讯安全主要面向消费互联网提供To C的安全产品。930之后,网络安全再不仅仅只是消费互联网的问题,更要将C端的安全服务经验,形成“可模块化”和“可迭代”的产品,给数字化升级的企业,给产业互联网服务。
做云谁都会,但是把云做安全,却没那么容易。
对政府来说,云安全出了问题,这意味着政治责任,因为这可能直接导致社会民生问题,这种责任是无限责任。
对企业来说,云安全出了问题,小则带来经济损失,重则引发数据泄露事故,造成社会影响,企业的信誉甚至都会因此收到影响。
但是腾讯在过去20年的发展,服务10亿级To C用户的业务运营中,积累了大量安全经验。
从技术维度上看,腾讯安全具有一体化智慧安全管理体系,拥有丰富的安全大数据库,可以放腾讯安全中台能力,为企业数字化转型提供专业安全服务。
以最简单的数据安全为例,腾讯安全可以为企业提供数据安全治理、数据安全审计、敏感数据保护等一系列服务。企业数据安全形成了相对完整的闭环。
从人才维度上看,腾讯建设了全球最顶尖的安全联合实验室团队,安全团队已经有近3500人的规模,这些安全人才在不断攻克全球顶级安全问题的难关。
腾讯安全安玄武实验室,安全研究主领域便包括微信、移动支付那种新零售大行业,而科恩实验室的研究的方向则包括车联网、人工智能、IoT的方向。
腾讯自身积累多年的安全实战技术再加上实验室中不断研发的新技术,形成了合力,让相关安全能力和方案不断迭代更新,在服务To B客户的过程之中得到升级。
实际上,这些技术在互联网、金融、数字政府、工业互联网以及医疗教育民生相关领域都得到了良好应用。
三
刀剑向前盾牌在后
套用一句网络流行的歌词来说,没有安全的云就像一盘散沙,不用风吹,走两步就散了。
云和安全在腾讯云未来面向To B市场的过程中将是一体两面,企业在实施数字化升级的时候,既要用云这把“利剑”,也要“安全”升级。
这就像是在给客户提供“刀剑”的时候还提供“盾牌”。
对数字化转型过程中的客户而言,获得云的能力,企业可以手持刀剑,在前线厮杀,让业务获得增长。获得安全的能力,则是可以手持盾牌,在业务增长的过程中之中,防止踩雷。
腾讯云市场规模的增长,将会促进安全业务市场规模的提升,安全能力的提升又会进一步强化腾讯云的核心竞争力。
中商产业研究院在今年4月发布的报告显示,2018年中国云安全市场规模达37.76亿元,增长45%。
随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56.1亿元,增长近五成。到2021年,预计我国云安全市场规模将超100亿元。
一个非常关键的信息是,从营收数据来看,转型仅仅10个月,腾讯安全便有了较大幅度的增长。
过去腾讯安全的盈利模式靠To C。但是在今年6月份,To B的收入已经接近To C的收入的60%-70%。
对云来说,“盾牌”的销售前景广阔,而且“盾牌”的销售还将带动“刀剑”的销售。
云要有“刀剑”更要有“盾牌”。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。